DE102017202176B4 - Method for detecting manipulation of a respective data network of at least one motor vehicle and server device - Google Patents
Method for detecting manipulation of a respective data network of at least one motor vehicle and server device Download PDFInfo
- Publication number
- DE102017202176B4 DE102017202176B4 DE102017202176.4A DE102017202176A DE102017202176B4 DE 102017202176 B4 DE102017202176 B4 DE 102017202176B4 DE 102017202176 A DE102017202176 A DE 102017202176A DE 102017202176 B4 DE102017202176 B4 DE 102017202176B4
- Authority
- DE
- Germany
- Prior art keywords
- data
- motor vehicles
- attack
- several
- predetermined
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 23
- 230000007123 defense Effects 0.000 claims abstract description 17
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 238000012360 testing method Methods 0.000 claims abstract description 10
- 230000006399 behavior Effects 0.000 claims description 26
- 238000009826 distribution Methods 0.000 claims description 9
- 238000010801 machine learning Methods 0.000 claims description 5
- 238000003909 pattern recognition Methods 0.000 claims description 4
- 230000002547 anomalous effect Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012806 monitoring device Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 208000024891 symptom Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Traffic Control Systems (AREA)
Abstract
Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk (31) in zumindest einem von mehreren Kraftfahrzeugen (12), wobei über das jeweilige Datennetzwerk (31) jedes Kraftfahrzeugs (12) jeweils Steuergeräte (32, 34) des Kraftfahrzeugs (12) Nachrichtendaten (33, 35) austauschen und bei dem Verfahren in einer zentralen, stationären Servervorrichtung (10):- eine Kommunikationseinrichtung (13) aus den mehreren Kraftfahrzeugen (12) jeweils Meldedaten (17) empfängt, wobei die Meldedaten (17) eine vorbestimmte Mindestabweichung der Nachrichtendaten (33, 35) des jeweiligen Datennetzwerks (31) von einem vorgegebenen Normalverhalten (37) und/oder eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten (33, 35) mit einem vorbestimmten Prüfmuster signalisieren;- eine Erkennungseinrichtung (15) in den Meldedaten (17) mehrerer der Kraftfahrzeuge (12) einen übereinstimmenden Anteil (18) als Angriffsdaten (20) erkennt, sodass die Erkennungseinrichtung (15) erkennt, dass mehrere der Kraftfahrzeuge (12) gleiche Meldedaten (17) gesendet haben; und- eine Abwehreinrichtung (16) überprüft, ob die Angriffsdaten (20) ein vorbestimmtes Kritikalitätskriterium (21) erfüllen, und bei erfülltem Kritikalitätskriterium (21) zumindest eine vorbestimmte Abwehrmaßnahme (24) auslöst, durch welche in den Kraftfahrzeugen (12) das Erzeugen weiterer Angriffsdaten (20) blockiert wird, dadurch gekennzeichnet, dassdie Meldedaten (17) zusätzlich die zugehörigen Nachrichtendaten (35), welche vom Normalverhalten (37) abweichen und/oder welche mit dem Prüfmuster übereinstimmen, enthalten und zum Erkennen des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) auch die zugehörigen Nachrichtendaten (35) verglichen werden, und/oderdie Meldedaten (17) zusätzlich auch Steuergerätedaten der Steuergeräte (32, 34) enthalten und zum Ermitteln des in mehreren Kraftfahrzeugen (12) übereinstimmenden Anteils (18) und/oder zum Auswählen der zumindest einen Abwehrmaßnahme (24) auch die Steuergerätedaten zugrunde gelegt werden.Method for detecting manipulation of a respective data network (31) in at least one of several motor vehicles (12), wherein control devices (32, 34) of the motor vehicle (12) transmit message data (33) via the respective data network (31) of each motor vehicle (12). , 35) and in the method in a central, stationary server device (10): - a communication device (13) receives message data (17) from the several motor vehicles (12), the message data (17) having a predetermined minimum deviation of the message data ( 33, 35) of the respective data network (31) signal a predetermined normal behavior (37) and / or a predetermined minimum match of the message data (33, 35) with a predetermined test pattern; - a recognition device (15) in the reporting data (17) of several of the Motor vehicles (12) recognize a matching portion (18) as attack data (20), so that the detection device (15) recognizes that several of the motor vehicles (12) have sent the same reporting data (17); and - a defense device (16) checks whether the attack data (20) meet a predetermined criticality criterion (21), and if the criticality criterion (21) is met, triggers at least one predetermined defensive measure (24), through which further ones are generated in the motor vehicles (12). Attack data (20) is blocked, characterized in that the reporting data (17) additionally contains the associated message data (35), which deviate from the normal behavior (37) and / or which match the test pattern, and for detecting the in several motor vehicles (12) matching share (18), the associated message data (35) are also compared, and / or the reporting data (17) also contain control device data of the control devices (32, 34) and to determine the matching share (18) in several motor vehicles (12) and / or the control device data can also be used as a basis for selecting the at least one defensive measure (24).
Description
Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation an einem jeweiligen Datennetzwerk in zumindest einem Kraftfahrzeug. Zu der Erfindung gehört auch eine zentrale, stationäre Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert, um die Manipulation zu erkennen.The invention relates to a method for detecting manipulation of a respective data network in at least one motor vehicle. The invention also includes a central, stationary server device that communicates with several motor vehicles in order to detect manipulation.
Kraftfahrzeuge können heute durch präventive Sicherheitsmaßnahmen gegen potentielle Hackerangriffe abgesichert werden. Trotz solcher Sicherheitsmaßnahmen bleiben Restrisiken und insbesondere durch eine Weiterentwicklung von Hackerangriffen altern die Sicherheitsmaßnahmen, was bedeutet, dass Sicherheitsmaßnahmen nach mehreren Jahren Schwachstellen bezüglich neu entwickelter Hackerangriffe aufweisen können. Hierdurch können dann Hackerangriffe in einzelnen Kraftfahrzeugen gelingen oder erfolgreich sein, was aber erst beispielsweise bei Werkstattaufenthalten als systematische Hackerangriffe erkannt wird, wenn eine auffallend große Anzahl von Kraftfahrzeugen dieselben Spuren von Hackerangriffen aufweist.Today, motor vehicles can be protected against potential hacker attacks through preventive security measures. Despite such security measures, residual risks remain and, particularly as hacker attacks continue to develop, security measures age, which means that after several years security measures may have vulnerabilities in relation to newly developed hacker attacks. As a result, hacker attacks in individual motor vehicles can succeed or be successful, but this is only recognized as systematic hacker attacks during workshop visits, for example, when a noticeably large number of motor vehicles show the same traces of hacker attacks.
Bis dahin können Schwachstellen in größerem Umfang von Hackern ausgenutzt werden, wodurch möglicherweise erheblicher Schaden entstehen kann.Until then, vulnerabilities can be exploited on a larger scale by hackers, potentially causing significant damage.
Aus der
Aus der
Aus der
Aus der
Der Erfindung liegt die Aufgabe zugrunde, bei Kraftfahrzeugen einen Hackerangriff auf das jeweilige Datennetzwerk der Kraftfahrzeuge zu erkennen.The invention is based on the object of detecting a hacker attack on the respective data network of motor vehicles.
Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben.The task is solved by the subject matter of the independent patent claims. Advantageous developments of the invention are described by the dependent claims, the following description and the figure.
Durch die Erfindung ist ein Verfahren bereitgestellt, mittels welchem eine Manipulation an einem jeweiligen Datennetzwerk zumindest eines Kraftfahrzeugs oder zumindest einiger aus mehreren Kraftfahrzeugen erkannt werden kann. Es wird hier davon ausgegangen, dass mehrere Kraftfahrzeuge zu untersuchen sind. Über das jeweilige Datennetzwerk jedes Kraftfahrzeugs tauschen jeweils Steuergeräte des Kraftfahrzeugs Nachrichtendaten untereinander aus. Ein solches Datennetzwerk kann beispielsweise ein Ethernet und/oder einen CAN-Bus (CAN - Controller Area Network) und/oder einen LIN-Bus (LIN - Local Interconnect Network) und/oder einen FlexRay-Bus und/oder einen MOST-Bus (MOST - Media Oriented Systems Transport) umfassen. Das Verfahren wird durch eine zentrale, stationäre Servervorrichtung durchgeführt, also eine Servervorrichtung, die zum Beispiel am Internet betrieben oder angeschlossen werden kann. Eine Kommunikationseinrichtung der Servervorrichtung empfängt aus den Kraftfahrzeugen jeweils Meldedaten. Diese Meldedaten signalisieren aus dem jeweiligen Kraftfahrzeug eine vorbestimmte Mindestabweichung der Nachrichtendaten des jeweiligen Netzwerks des Kraftfahrzeugs von einem vorgegebenen Normalverhalten. Zusätzlich oder alternativ dazu signalisieren die Meldedaten eine vorbestimmte Mindestübereinstimmung der Nachrichtendaten des Datennetzwerks mit einem vorbestimmten Prüfmuster. Mit anderen Worten wird durch die Meldedaten signalisiert, dass in dem jeweiligen Kraftfahrzeug die Nachrichtendaten zum Beispiel in Bezug auf ihre Häufigkeit und/oder Senderate und/oder ihren Inhalt und/oder den Sender und/oder Empfänger außerhalb eines jeweiligen vorgegebenen Wertebereichs und/oder außerhalb einer statistischen Verteilung liegen, die das Normalverhalten definieren. Die Mindestabweichung bedeutet, dass der Unterschied zum Normalverhalten größer als ein vorbestimmter Mindestwert oder ein vorbestimmtes Mindestmaß ist. Zusätzlich oder alternativ dazu kann ein vorbestimmtes Prüfmuster in den Kraftfahrzeugen gesucht werden, und bei einer Übereinstimmung der Nachrichtendaten mit dem Prüfmuster um mehr als einen vorbestimmten Mindestwert werden korrespondierende Meldedaten an die Kommunikationseinrichtung ausgesendet. Eine Erkennungseinrichtung der Servervorrichtung erkennt dann in den Meldedaten mehrerer der Kraftfahrzeuge einen übereinstimmenden Anteil. Mit anderen Worten wird erkannt, dass nicht nur ein einzelnes Kraftfahrzeug bestimmte Meldedaten sendet, sondern mehrere Kraftfahrzeuge gleiche oder ähnliche Meldedaten gesendet haben. Der übereinstimmende Anteil kann also durch ein Abstandsmaß zum Vergleichen der Meldedaten bestimmt sein und hierbei ein Abstandswert kleiner als ein vorbestimmter Höchstwert eine Übereinstimmung definieren. Dieser übereinstimmende Anteil wird im Folgenden als Angriffsdaten bezeichnet. Melden also mehrere Kraftfahrzeuge gleiche oder im Sinne des Abstandsmaßes ähnliche Meldedaten, so ergibt sich also bei mehreren Kraftfahrzeugen ein übereinstimmendes Fehlerbild, weil ja die Meldedaten auf eine Abweichung vom Normalverhalten und/oder eine Übereinstimmung mit einem Prüfmuster hinweisen. Es kann sich also bei den Meldedaten nicht um einen Fehlalarm in einem einzelnen Kraftfahrzeug handeln, wie er sich durch eine spezifische, extreme Fahrsituation ergeben könnte. Eine Abwehreinrichtung der Servervorrichtung überprüft dann, ob die Angriffsdaten ein vorbestimmtes Kritikalitätskriterium erfüllen. Das Kritikalitätskriterium kann definieren, ob die Angriffsdaten relevant sind. Bei erfülltem Kritikalitätskriterium löst die Abwehreinrichtung zumindest eine vorbestimmte Abwehrmaßnahme aus, durch welche in den Kraftfahrzeugen das Erzeugen weiterer Angriffsdaten blockiert wird. Mittels der zumindest einen vorbestimmten Abwehrmaßnahme kann also der Ursache der Angriffsdaten, die zu den Merkmalsdaten geführt haben, entgegengewirkt werden. Die Abwehreinrichtung kann als Abwehrmaßnahme z.B. ein Update einer Betriebssoftware zumindest eines Steuergeräts auslösen. Die Abwehreinrichtung kann als ein Programmcode der Steuervorrichtung ausgestaltet sein.The invention provides a method by means of which manipulation of a respective data network of at least one motor vehicle equipment or at least some of several motor vehicles can be recognized. It is assumed here that several motor vehicles need to be examined. Control devices of the motor vehicle exchange message data with each other via the respective data network of each motor vehicle. Such a data network can, for example, be an Ethernet and/or a CAN bus (CAN - Controller Area Network) and/or a LIN bus (LIN - Local Interconnect Network) and/or a FlexRay bus and/or a MOST bus ( MOST - Media Oriented Systems Transport). The method is carried out by a central, stationary server device, i.e. a server device that can be operated or connected to the Internet, for example. A communication device of the server device receives reporting data from the motor vehicles. These reporting data signal from the respective motor vehicle a predetermined minimum deviation of the message data of the respective network of the motor vehicle from a predetermined normal behavior. Additionally or alternatively, the message data signals a predetermined minimum match of the message data of the data network with a predetermined test pattern. In other words, the message data signals that in the respective motor vehicle the message data, for example in terms of its frequency and/or transmission rate and/or its content and/or the sender and/or receiver, is outside a respective predetermined value range and/or outside a statistical distribution that defines normal behavior. The minimum deviation means that the difference from normal behavior is greater than a predetermined minimum value or a predetermined minimum dimension. Additionally or alternatively, a predetermined test pattern can be searched for in the motor vehicles, and if the message data matches the test pattern by more than a predetermined minimum value, corresponding reporting data is sent to the communication device. A recognition device of the server device then recognizes a matching portion in the reporting data of several of the motor vehicles. In other words, it is recognized that not only a single motor vehicle sends certain reporting data, but rather several motor vehicles have sent the same or similar reporting data. The matching proportion can therefore be determined by a distance measure for comparing the reporting data and a distance value smaller than a predetermined maximum value can define a match. This matching portion is referred to below as attack data. If several motor vehicles report the same or similar reporting data in terms of the distance measure, this results in a consistent error pattern for several motor vehicles because the reporting data indicates a deviation from normal behavior and/or a match with a test sample. The reporting data cannot therefore be a false alarm in an individual motor vehicle, as could result from a specific, extreme driving situation. A defense device of the server device then checks whether the attack data meets a predetermined criticality criterion. The criticality criterion can define whether the attack data is relevant. If the criticality criterion is met, the defense device triggers at least one predetermined defensive measure, which blocks the generation of further attack data in the motor vehicles. By means of the at least one predetermined defensive measure, the cause of the attack data that led to the feature data can be counteracted. As a defensive measure, the defense device can, for example, trigger an update of the operating software of at least one control device. The defense device can be designed as a program code of the control device.
Durch das erfindungsgemäße Verfahren ergibt sich also eine großflächige Überwachung mehrerer Kraftfahrzeuge, sodass das Entstehen von Angriffsdaten in mehreren Kraftfahrzeugen erkannt wird und daraufhin zumindest eine vorbestimmte Abwehrmaßnahme oder Reaktion auf die Angriffsdaten ausgelöst werden kann. Die Servervorrichtung ermittelt hierzu Indizien betreffend die Übereinstimmung von Meldedaten in mehreren Kraftfahrzeugen.The method according to the invention therefore results in large-scale monitoring of several motor vehicles, so that the emergence of attack data in several motor vehicles is detected and at least one predetermined defensive measure or reaction to the attack data can then be triggered. For this purpose, the server device determines evidence regarding the correspondence of reporting data in several motor vehicles.
Erfindungsgemäß enthalten die Mediendaten die zugehörigen Nachrichtendaten, welche vom Normalverhalten abweichen und/oder welche mit dem Prüfmuster übereinstimmen. Zum Erkennen des in mehreren Kraftfahrzeugen übereinstimmenden Anteils, also zum Erkennen der Angriffsdaten, werden auch die zugehörigen Nachrichtendaten verglichen. Hieran kann erkannt werden, ob ein Hackerangriff mittels gleicher Nachrichtendaten in den Datennetzwerken der Kraftfahrzeuge durchgeführt wird, also z.B. mittels eines bestimmten Bitmusters, mit dem auf eine Schwachstelle in einem Steuergerät abgezielt wird.According to the invention, the media data contains the associated message data which deviates from normal behavior and/or which corresponds to the test pattern. In order to recognize the proportion that matches in several motor vehicles, i.e. to recognize the attack data, the associated message data is also compared. This can be used to identify whether a hacker attack is being carried out using the same message data in the data networks of the motor vehicles, for example using a specific bit pattern that targets a weak point in a control unit.
Die Meldedaten enthalten erfindungsgemäß zusätzlich oder alternativ auch Steuergerätedaten der Steuergeräte. Zum Ermitteln des in mehreren Kraftfahrzeugen übereinstimmenden Anteils und/oder zum Auswählen der zumindest einen Abwehrmaßnahme werden entsprechend auch bevorzugt die Steuergerätedaten zu Grunde gelegt. Auf Grundlage der Steuergerätedaten kann auch die jeweilige Ausstattung oder Konfiguration der Kraftfahrzeuge verglichen werden. Enthält ein Kraftfahrzeug beispielsweise ein Steuergerät, das Nachrichtendaten für einen bestimmten Nachrichtentyp mit einer ersten Nachrichtenrate (Nachrichten pro Zeit) aussendet, und ein anderes Kraftfahrzeug ein Steuergerät eines anderen Gerätetyps, das mit einer größeren Nachrichtenrate versendet, weil es beispielsweise leistungsfähiger ist oder einen Sensor mit einer anderen Datenrate aufweist, so ist anhand der Steuergerätedaten erkennbar, dass die Nachrichtenraten dieser beiden Kraftfahrzeuge nicht verglichen werden sollten oder ein Korrekturfaktor angewendet werden muss.According to the invention, the reporting data additionally or alternatively also contains control device data of the control devices. To determine the proportion that matches in several motor vehicles and/or to select the at least one defensive measure, the control device data is preferably used as a basis. Based on the control unit data, the respective equipment or configuration of the motor vehicles can also be compared. For example, a motor vehicle contains a control unit that contains message data for a specific message type with a first message rate (messages per time), and another motor vehicle sends a control device of a different device type that sends with a larger message rate because, for example, it is more powerful or has a sensor with a different data rate, this is based on the ECU data shows that the message rates of these two vehicles should not be compared or a correction factor must be applied.
Zu der Erfindung gehören auch Weiterbildungen, durch deren Merkmale sich zusätzliche Vorteile ergeben.The invention also includes further developments whose features result in additional advantages.
Um den übereinstimmenden Anteil in den Meldedaten zu erkennen, wird dieser bevorzugt auf der Grundlage einer Mustererkennung und/oder einer Methode des maschinellen Lernens erkannt. Eine Mustererkennung kann beispielsweise auf der Grundlage eines Hidden-Markov-Modells (HMM) oder eines künstlichen neuronalen Netzwerks (ANN - Artificial Neural Network) durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass auch statistische Abweichungen in den Angriffsdaten, wie sie beispielsweise durch eine jeweilige in einem angegriffenen Fahrzeug vorliegende Fahrsituation verursacht werden kann, bei der Erkennung der Angriffsdaten berücksichtigt oder kompensiert werden kann. Mit einer Methode des maschinellen Lernens ist hier gemeint, dass durch die Erkennungseinrichtung selbst die Kriterien ermittelt werden, anhand welcher eine Übereinstimmung erkannt wird. Dies wird als sogenanntes „Unüberwachtes Lernen“ bezeichnet und kann beispielsweise mittels eines sogenannten Clustering-Verfahrens, zum Beispiel einem Estimation-Maximization-Algorithmus, durchgeführt werden. Hierdurch ergibt sich der Vorteil, dass nicht im Voraus die Kriterien zum Erkennen einer Übereinstimmung oder ein Übereinstimmungsmaß definiert sein muss. Hierdurch kann man auf noch unbekannte Arten von Hackerangriffen reagieren.In order to recognize the matching proportion in the reporting data, this is preferably recognized on the basis of pattern recognition and/or a machine learning method. Pattern recognition can be carried out, for example, on the basis of a Hidden Markov Model (HMM) or an artificial neural network (ANN - Artificial Neural Network). This results in the advantage that statistical deviations in the attack data, such as those that can be caused, for example, by a driving situation present in an attacked vehicle, can also be taken into account or compensated for when detecting the attack data. What is meant here by a machine learning method is that the recognition device itself determines the criteria based on which a match is recognized. This is referred to as so-called “unsupervised learning” and can be carried out, for example, using a so-called clustering method, for example an estimation-maximization algorithm. This has the advantage that the criteria for recognizing a match or a measure of agreement do not have to be defined in advance. This allows you to react to yet unknown types of hacker attacks.
Damit die Kraftfahrzeuge überhaupt Meldedaten aussenden, ist das Normalverhalten zu beschreiben. Das Normalverhalten umfasst insbesondere, dass die Nachrichtendaten über registrierte Kommunikationsverbindungen zwischen den Steuergeräten ausgetauscht werden, also im Voraus bekannte Kommunikationsbeziehungen verwendet werden. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichtendaten mit einer Nachrichtenrate ausgetauscht werden, deren Wert innerhalb eines registrierten Intervalls und/oder eine registrierte statistische Verteilung aufweist. Zusätzlich oder alternativ dazu kann das Normalverhalten umfassen, dass die Nachrichten ausschließlich registrierte Absenderadressen und/oder Empfängeradressen enthalten. Das Normalverhalten kann in einem Kraftfahrzeug auch erlernt werden, indem in einer Lernphase, während welcher man nicht von einem Hackerangriff ausgehen muss (z.B. bei einer Testfahrt unmittelbar nach der Produktion des Kraftfahrzeugs), Kommunikationsbeziehungen und/oder Intervalle und/oder statistische Verteilungen für Werte und/oder Absenderadressen und/oder Empfängeradressen in dem Datennetzwerk erkannt oder erfasst werden und registriert werden.In order for motor vehicles to send out reporting data at all, normal behavior must be described. The normal behavior includes, in particular, that the message data is exchanged between the control devices via registered communication connections, i.e. communication relationships that are known in advance are used. Additionally or alternatively, the normal behavior may include exchanging the message data at a message rate whose value is within a registered interval and/or has a registered statistical distribution. Additionally or alternatively, normal behavior may include messages containing only registered sender addresses and/or recipient addresses. The normal behavior can also be learned in a motor vehicle by using communication relationships and/or intervals and/or statistical distributions for values and/or in a learning phase during which one does not have to assume a hacker attack (e.g. during a test drive immediately after the production of the motor vehicle). /or sender addresses and/or recipient addresses are recognized or recorded in the data network and registered.
Zum Definieren des Normalverhaltens können auf der Grundlage von Nachrichtendaten des jeweiligen Kraftfahrzeugs mittels einer Methode des maschinellen Lernens das Normalverhalten definierende Parameterwerte erlernt werden. Dies kann beispielsweise mittels eines künstlichen neuronalen Netzwerks und/oder eines HMM und/oder einer Support-Vector-Machine (SVM) oder mittels eines Histogramms zum Ermitteln einer statistischen Verteilung durchgeführt werden. Dies kann auch durch die Servervorrichtung durchgeführt werden.To define the normal behavior, parameter values defining the normal behavior can be learned based on message data from the respective motor vehicle using a machine learning method. This can be carried out, for example, using an artificial neural network and/or an HMM and/or a support vector machine (SVM) or using a histogram to determine a statistical distribution. This can also be done by the server device.
Wenn ein übereinstimmender Anteil an Meldedaten in mehreren Kraftfahrzeugen erkannt wird, führt dies nicht automatisch zu der zumindest einen Abwehrmaßnahme. Vielmehr wird zunächst durch die Abwehreinrichtung das Kritikalitätskriterium überprüft. Dieses umfasst insbesondere, dass die Anzahl der Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Zusätzlich oder alternativ dazu kann das Kritikalitätskriterium umfassen, dass die Anzahl einen vorbestimmten zeitlichen Trend aufweist. Steigt die Anzahl also beispielsweise innerhalb eines vorbestimmten Zeitintervalls um mehr als einen vorbestimmten Deltawert an, so kann ein solcher Trend ebenfalls das Kritikalitätskriterium erfüllen.If a matching proportion of reporting data is detected in several motor vehicles, this does not automatically lead to at least one defensive measure. Rather, the criticality criterion is first checked by the defense device. This includes in particular that the number of motor vehicles that have the same proportion of reporting data is greater than a predetermined threshold value. Additionally or alternatively, the criticality criterion may include that the number has a predetermined time trend. For example, if the number increases by more than a predetermined delta value within a predetermined time interval, such a trend can also meet the criticality criterion.
Es kann vorkommen, dass die Meldedaten zwar ein Indiz für einen Hackerangriff ergeben, aber die Meldedaten nicht ausreichen, um die Ausgestaltung oder Beschaffenheit des Hackerangriffs ausreichend für eine Abwehrmaßname zu analysieren. Um eine Analyse der Struktur und/oder Beschaffenheit des Hackerangriffs zu ermöglichen, ist bevorzugt vorgesehen, an diejenigen Kraftfahrzeuge, die den übereinstimmenden Anteil der Meldedaten aufweisen, ein Anforderungssignal mit einem auf der Grundlage der Angriffsdatengebildeten Suchmuster zum Auswählen und bereitstellen zusätzlicher Meldedaten (zum Beispiel zusätzlichen Nachrichtendaten und/oder Steuergerätedaten) ausgesendet wird und aus den Kraftfahrzeugen die angeforderten zusätzlichen Meldedaten empfangen werden. Anhand der zusätzlichen Meldedaten werden dann die Angriffsdaten dahingehend ergänzt, dass eine die Angriffsdaten hervorrufende Ursache beschrieben wird. Beispielsweise wird also das die Angriffsdaten in dem jeweiligen Kraftfahrzeug aussendende Steuergerät identifiziert und/oder ein Datenmuster identifiziert, das in den Angriffsdaten enthalten ist und welches eine Betriebsweise zumindest eines anderen Steuergeräts des Kraftfahrzeugs manipuliert und/oder beeinträchtigt. Hierdurch kann das Fehlerbild konkretisiert werden. Das Suchmuster stellt einen Filter dar, das aus den Nachrichtendaten und/oder Steuergerätedaten die angeforderten Anteile identifiziert oder herausfiltert, um sie an die Servervorrichtung übermitteln zu können. Das Suchmuster ist also ein Detektionsmuster.It may happen that the reporting data provides an indication of a hacker attack, but the reporting data is not sufficient to adequately analyze the design or nature of the hacker attack for a defensive measure. In order to enable an analysis of the structure and/or nature of the hacker attack, it is preferably provided to send a request signal with a search pattern formed on the basis of the attack data to those motor vehicles that have the same proportion of reporting data for selecting and providing additional reporting data (for example additional Message data and/or control device data) is sent out and the requested additional reporting data is received from the motor vehicles. Using the additional reporting data, the attack data is then supplemented to the extent that a cause that caused the attack data is described. For example, the attack data is sent out in the respective motor vehicle Control device identifies and / or identifies a data pattern that is contained in the attack data and which manipulates and / or impairs an operation of at least one other control device of the motor vehicle. This allows the error pattern to be made more concrete. The search pattern represents a filter that identifies or filters out the requested shares from the message data and/or control device data in order to be able to transmit them to the server device. The search pattern is therefore a detection pattern.
Um die Erzeugung oder Entstehung weiterer Angriffsdaten in den Kraftfahrzeugen zu unterdrücken, wird die zumindest eine Abwehrmaßnahme ausgelöst. Diese zumindest eine Abwehrmaßnahme umfasst insbesondere, dass ein Angriffsmuster, das zum Detektieren der Angriffsdaten in jedem Kraftfahrzeug ausgelegt ist, an die Kraftfahrzeuge ausgesendet wird. Hierdurch kann jedes Kraftfahrzeug die in dessen Datennetzwerk erzeugten Angriffsdaten identifizieren und zum Beispiel löschen. Zusätzlich oder alternativ dazu ist vorgesehen, dass die zumindest eine Abwehrmaßnahme umfasst, dass zumindest eine Toleranzschwelle, durch welche das Normalverhalten definiert ist, in den Kraftfahrzeugen gesenkt wird. Dies ermöglicht eine gezielte Suche nach zusätzlichen Nachrichtendaten, die durch einen Hackerangriff verursacht worden sein können. Mit der Toleranzschwelle ist die eingangs beschriebene Toleranzschwelle gemeint, die nötig ist, um in bestimmten Fahrsituationen einen Fehlalarm bei der Detektion von Hackerangriffen zu vermeiden. Ist allerdings anhand der Meldedaten und des übereinstimmenden Anteils in mehreren Kraftfahrzeugen erkannt worden, dass ein Hackerangriff vorliegen könnte, so können durch Senken der Toleranzschwelle mehr Meldedaten erzeugt werden, die nun aber in der Servervorrichtung durch die Erkennungseinrichtung zunächst auf einen übereinstimmenden Anteil überprüft werden und durch die Abwehreinrichtung dann noch auf das Kritikalitätskriterium geprüft werden, bevor es zu einem Fehlalarm kommen kann. Zusätzlich oder alternativ kann die Abwehrmaßnahme umfassen, dass ein Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.In order to suppress the generation or emergence of further attack data in the motor vehicles, the at least one defensive measure is triggered. This at least one defensive measure includes in particular that an attack pattern, which is designed to detect the attack data in each motor vehicle, is sent to the motor vehicles. This allows each motor vehicle to identify and, for example, delete the attack data generated in its data network. Additionally or alternatively, it is provided that the at least one defensive measure includes lowering at least one tolerance threshold, by which normal behavior is defined, in the motor vehicles. This enables a targeted search for additional message data that may have been caused by a hacker attack. The tolerance threshold means the tolerance threshold described at the beginning, which is necessary to avoid false alarms when detecting hacker attacks in certain driving situations. However, if it has been recognized based on the reporting data and the matching proportion in several motor vehicles that there could be a hacker attack, more reporting data can be generated by lowering the tolerance threshold, which are now first checked in the server device by the recognition device for a matching proportion and by The defense system must then be checked for the criticality criterion before a false alarm can occur. Additionally or alternatively, the defensive measure can include sending out a software update for a respective operating software of at least one of the control devices of the motor vehicle.
Zum Durchführen des Verfahrens ist die beschriebene Servervorrichtung zum Betreiben am Internet bereitgestellt. Die Servervorrichtung kann durch einen Computer oder einen Computerverbund bereitgestellt sein, der an das Internet angeschlossen sein kann. Die Servervorrichtung weist eine Kommunikationseinrichtung zum Empfangen von Meldedaten aus Kraftfahrzeugen auf. Die Servervorrichtung kann beispielsweise durch eine NIC (Network Interface Card) bereitgestellt sein. Die Meldedaten können beispielsweise über ein Ethernet und/oder eine Internetverbindung empfangen werden. Des Weiteren weist die Servervorrichtung die Erkennungseinrichtung zum Erkennen der Angriffsdaten, die den übereinstimmenden Anteil der Meldedaten mehrerer Kraftfahrzeuge darstellen, und die Abwehreinrichtung zum Auslösen zumindest einer vorbestimmten Abwehrmaßnahme gegen die Erzeugung weiterer Angriffsdaten auf. Die Servervorrichtung weist hierzu eine Prozessoreinrichtung auf, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Erkennungseinrichtung und die Abwehreinrichtung können hierbei zum Beispiel jeweils ein Programmmodul für die Prozessoreinrichtung sein. Insgesamt kann in der Prozessoreinrichtung ein Programmcode bereitgestellt sein, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.To carry out the method, the server device described is provided for operation on the Internet. The server device may be provided by a computer or a network of computers that may be connected to the Internet. The server device has a communication device for receiving reporting data from motor vehicles. The server device can be provided, for example, by a NIC (Network Interface Card). The reporting data can be received, for example, via an Ethernet and/or an Internet connection. Furthermore, the server device has the detection device for detecting the attack data, which represents the corresponding portion of the reporting data from several motor vehicles, and the defense device for triggering at least one predetermined defensive measure against the generation of further attack data. For this purpose, the server device has a processor device which is set up to carry out an embodiment of the method according to the invention. The detection device and the defense device can each be, for example, a program module for the processor device. Overall, a program code can be provided in the processor device, which is designed to carry out an embodiment of the method according to the invention when executed by the processor device. The program code can be stored in a data memory of the processor device.
Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt die einzige Figur (Fig.) eine schematische Darstellung einer Ausführungsform der erfindungsgemäßen Servervorrichtung, die mit mehreren Kraftfahrzeugen kommuniziert.Examples of embodiments of the invention are described below. For this purpose, the single figure (Fig.) shows a schematic representation of an embodiment of the server device according to the invention, which communicates with several motor vehicles.
Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.The exemplary embodiments explained below are preferred embodiments of the invention. In the exemplary embodiments, the described components of the embodiments each represent individual features of the invention that can be viewed independently of one another, which also develop the invention independently of one another and are therefore to be viewed as part of the invention individually or in a combination other than that shown. Furthermore, the described embodiments can also be supplemented by further features of the invention that have already been described.
Die Figur zeigt eine Servervorrichtung 10, das Internet 11 und mehrere Kraftfahrzeuge 12. Die Kraftfahrzeuge 12 können in vergleichbarer Weise ausgestaltet sein, weshalb nur eines der Kraftfahrzeuge 12 in der Figur im Detail dargestellt ist.The figure shows a
Die Servervorrichtung 10 kann ein Computer oder ein Computerverbund sein. In der Servervorrichtung 10 können eine Kommunikationseinrichtung 13 und eine Prozessoreinrichtung 14 bereitgestellt sein. Die Kommunikationseinrichtung 13 kann beispielsweise durch eine Ethernet-Netzwerkkarte oder NIC gebildet sein. Die Prozessoreinrichtung 14 kann beispielsweise eine Erkennungseinrichtung 15 und eine Abwehreinrichtung 16 betreiben. Diese können als Programmcode der Prozessoreinrichtung 14 ausgestaltet sein. Die Servervorrichtung 10 kann mittels ihrer Kommunikationseinrichtung 13 aus den Kraftfahrzeugen 12 Meldedaten 17 empfangen, die auf eine Anomalie in einem jeweiligen internen Netzwerkverkehr der Kraftfahrzeuge 12 hinweisen oder diesen signalisieren. Die Meldedaten 17 der Kraftfahrzeuge 12 können von der Kommunikationseinrichtung 13 an die Erkennungseinrichtung 15 weitergegeben werden. Die Meldedaten 17 aller Kraftfahrzeuge 12 können dann miteinander verglichen werden. In der Figur sind in der Erkennungseinrichtung beispielhaft die Meldedaten 17 der unterschiedlichen Kraftfahrzeuge 12 in einem Diagramm aufgetragen, in welchem die Meldedaten dahingehend unterschieden sind, welchen Wert ein Parameter P1 und ein Parameter T2 in den jeweiligen Meldedaten 17 aufweist. Ein Parameter P1, P2 kann beispielsweise eine Nachrichtenrate und/oder einen Wert, der in einer jeweiligen Nachricht des Netzwerkverkehrs enthalten ist, z.B. einen Lenkwinkel, beschreiben. Durch die Erkennungseinrichtung 15 kann ein übereinstimmender Anteil 18 der Meldedaten 17 erkannt werden, der beispielsweise dadurch definiert sein kann, dass die Meldedaten identisch sind oder nur um einen vorbestimmten Höchstwert 19 voneinander abweichen. Dargestellt ist das Ergebnis einer Clustering-Methode.The
Die Meldedaten 17, die den übereinstimmenden Anteil 18 darstellen, können als Angriffsdaten 20 an die Abwehreinrichtung 16 signalisiert werden. Die Abwehreinrichtung 16 kann zu den Angriffsdaten 20 ein Kritikalitätskriterium 21 überprüfen, welches beispielsweise vorgeben kann, dass eine vorbestimmte Mindestanzahl an Kraftfahrzeugen 12 von den Angriffsdaten 20 betroffen sein muss. Mit anderen Worten muss die Anzahl der Kraftfahrzeuge 12, die den übereinstimmenden Anteil 18 der Meldedaten aufweisen, größer als ein vorbestimmter Schwellenwert ist. Ist dies nicht der Fall (in der Figur durch ein „-“ symbolisiert), so können die Angriffsdaten in einem Reaktionsschritt 22 ignoriert werden. Ist das Kritikalitätskriterium dagegen erfüllt (in der Figur durch ein „+“ repräsentiert), so kann in einem Reaktionsschritt 23 durch die Abwehreinrichtung 16 zumindest eine Abwehrmaßnahme 24 ausgelöst werden. Beispielsweise kann auf der Grundlage der Angriffsdaten ein Angriffsmuster 25 erzeugt und dieses durch die Abwehreinrichtung 16 über die Kommunikationseinrichtung 13 an die Kraftfahrzeuge 12 ausgesendet werden. In den Kraftfahrzeugen 12 kann somit anhand des Angriffsmuster 25 die Angriffsdaten in dem jeweiligen Netzwerkverkehr identifiziert oder erkannt werden. Für eine weitergehende Analyse kann auch ein Anforderungssignal 26 an die Kraftfahrzeuge 12 ausgesendet werden. Zusätzlich oder alternativ kann die Abwehreinrichtung 16 als Abwehrmaßnahme 24 vorsehen, dass ein Softwareupdate für eine jeweilige Betriebssoftware zumindest eines der Steuergeräte des Kraftfahrzeugs ausgesendet wird.The reporting
Für das Übertragen der Meldedaten 17, des Angriffsmusters 25 und/oder des Anforderungssignals 17 kann eine Kommunikationsverbindung 27 zwischen der Servervorrichtung 10 und den Kraftfahrzeugen 12 jeweils beispielsweise über das Internet 11 und eine Funkeinrichtung 28, beispielsweise einen WLAN-Router (WLAN - Wireless Local Area Network) oder ein Mobilfunknetzwerk, aufgebaut werden. Die Funkeinrichtung 28 kann eine jeweilige Funkverbindung 29 zu einer jeweiligen Fahrzeug-Kommunikationseinrichtung 30 betreiben. Innerhalb jedes Kraftfahrzeugs 12 kann der Netzwerkverkehr in einem jeweiligen Datennetzwerk 31 zwischen Steuergeräten 32 des Kraftfahrzeugs 12 ausgetauscht werden, wobei durch den Netzwerkverkehr Nachrichtendaten 33 zwischen den Steuergeräten 32 über das Datennetzwerk 31 übertragen werden.For transmitting the reporting
In einem Kraftfahrzeug 12 kann ein manipuliertes oder zusätzlich angeschlossenes Steuergerät 34 in dem Datennetzwerk 31 manipulierte Nachrichtendaten 35 erzeugen, um einen Hackerangriff durchzuführen. Unter einem Hackerangriff ist insbesondere eine unautorisierte Manipulation einer Betriebsweise eines Kraftfahrzeugs 12 zu verstehen, wobei die Manipulation durch Verändern einer Betriebssoftware eines Steuergeräts des Kraftfahrzeugs 12 und/oder durch Anschließen eines zusätzlichen, für den Hackerangriff ausgestalteten Steuergeräts an das Datennetzwerk ausgeführt wird. Mittels eines solchen jeweiligen Steuergeräts können die übrigen Steuergeräte des Kraftfahrzeugs 12 beeinflusst werden, insbesondere ihre Betriebsweise beeinträchtigt werden, indem zum Beispiel eine Vielzahl von Nachrichten, die das Verarbeitungsvermögen eines Steuergeräts und/oder eines Netzwerk-Switches und/oder eines Netzwerk-Gateways überschreiten, erzeugt werden. Auch Nachrichten mit einem Nachrichteninhalt, welcher bei einer Verarbeitung durch ein Steuergerät einen Fehler in dem Steuergerät auslöst, kann für einen Hackerangriff genutzt sein. Z.B. kann ein spezielles Bitmuster einen Fehler auslösen, wenn eine entsprechende Schwachstelle vorliegt.In a
Eine Überwachungseinrichtung 36 kann die Nachrichtendaten 33 und die manipulierte Nachrichtendaten 35 überwachen und beispielsweise eine Abweichung von einem Normalverhalten des Datennetzwerks 31 erkennen, also den Einfluss der manipulierten Nachrichtendaten 35 detektieren. Das Normalverhalten kann beispielsweise ein statistisches Normalverhalten 37 sein, welches eine statistische Verteilung oder Häufigkeit H eines zum Beispiel in den Nachrichtendaten enthaltenen Werts W, beispielsweise eines Sensorwerts oder eines Steuerwerts, oder eine Nachrichtenrate beschreibt. Eine tatsächliche statistische Verteilung 37` kann von dem statistischen Normalverhalten 37 abweichen. Durch einen Vergleich der Verteilungen 37, 37', beispielsweise mittels der Kullback-Leibler-Divergenz, und einem Schwellenwert können dann durch die Überwachungseinrichtung 36 die Meldedaten 17 erzeugt werden, welche die Abweichung vom statistischen Normalverhalten 37 signalisieren und zum Beispiel die zugehörigen manipulierten Nachrichtendaten 35 und/oder Steuergerätedaten des Steuergeräts 34 enthalten können.A
Anhand des Angriffsmuster 25 kann durch die Überwachungseinrichtung 36 dann gezielt die manipulierten Nachrichtendaten 35 herausgefiltert oder detektiert werden, da durch das Kritikalitätskriterium 21 der Servervorrichtung 10 verifiziert wurde, dass die Verteilung 37` nicht auf einen besonderen Fahrzustand des Kraftfahrzeugs 12 selbst zurückzuführen ist, sondern ein Phänomen darstellt, das in mehreren Kraftfahrzeugen 12 erkannt wurde und deshalb auf einen Hackerangriff hindeuten kann.Based on the
Somit werden Manipulationen und Hackerangriffe in einzelnen Kraftfahrzeugen 12 anhand von Anomalien in deren internen Netzwerkverkehr erkannt, diese Symptome klassifiziert, beispielsweise als statistische Abweichung oder als Schwellenwert-Überschreitung, und dies dann als Meldedaten 17 an die Servervorrichtung 10 versendet. Die Besonderheit besteht darin, dass die Erkennungslogik der Servervorrichtung, also die Erkennungseinrichtung 15, mehrere Informationsquellen nutzt, nämlich die Netzwerkdaten und Steuergerätedaten, die in den Kraftfahrzeugen 12 aggregiert und als Meldedaten 17 an die Servervorrichtung 10 übertragen werden können. Die Erkennungseinrichtung 15 kann beispielsweise auf der Grundlage einer Mustererkennung in den Meldedaten 17 ein Lagebild über die gesamte Fahrzeugflotte, d.h. die Kraftfahrzeuge 12, erstellen. Das Lagebild beschreibt dann einen übereinstimmenden Anteil 18, also übereinstimmende Symptome in mehreren der Kraftfahrzeuge 12. Gegebenenfalls kann dann auf Angriffe mit geeigneten Abwehrmaßnahmen, beispielsweise einem Softwareupdate, reagiert werden.Manipulations and hacker attacks in
Insgesamt zeigen die Beispiele, wie durch die Erfindung eine zentrale Manipulationserkennung bei vernetzten Kraftfahrzeugen bereitgestellt werden kann.Overall, the examples show how the invention can provide central manipulation detection in networked motor vehicles.
Claims (8)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017202176.4A DE102017202176B4 (en) | 2017-02-10 | 2017-02-10 | Method for detecting manipulation of a respective data network of at least one motor vehicle and server device |
PCT/EP2018/052727 WO2018146028A1 (en) | 2017-02-10 | 2018-02-05 | Method for detecting a manipulation on a respective data network of at least one motor vehicle, and server apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102017202176.4A DE102017202176B4 (en) | 2017-02-10 | 2017-02-10 | Method for detecting manipulation of a respective data network of at least one motor vehicle and server device |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102017202176A1 DE102017202176A1 (en) | 2018-08-16 |
DE102017202176B4 true DE102017202176B4 (en) | 2023-11-30 |
Family
ID=61163722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102017202176.4A Active DE102017202176B4 (en) | 2017-02-10 | 2017-02-10 | Method for detecting manipulation of a respective data network of at least one motor vehicle and server device |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102017202176B4 (en) |
WO (1) | WO2018146028A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11354406B2 (en) * | 2018-06-28 | 2022-06-07 | Intel Corporation | Physics-based approach for attack detection and localization in closed-loop controls for autonomous vehicles |
JP7344009B2 (en) * | 2018-10-17 | 2023-09-13 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | Information processing device, information processing method and program |
CN109639690B (en) * | 2018-12-18 | 2021-09-24 | 重庆长安新能源汽车科技有限公司 | Vehicle-mounted monitoring terminal and remote monitoring method and system thereof |
JP7139257B2 (en) * | 2019-01-21 | 2022-09-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | VEHICLE SECURITY MONITORING DEVICE, METHOD AND PROGRAM |
DE102019129628B3 (en) * | 2019-11-04 | 2021-05-06 | Audi Ag | Method and control device for detecting unauthorized data traffic in a packet-oriented data network of a motor vehicle and a corresponding motor vehicle |
CN112968891B (en) * | 2021-02-19 | 2022-07-08 | 山东英信计算机技术有限公司 | Network attack defense method and device and computer readable storage medium |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004063319A1 (en) | 2004-12-23 | 2006-07-13 | Volkswagen Ag | Software protection system for automobiles allows control words to be transmitted to a manufacturer for checking |
DE102013200528A1 (en) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation |
DE102013200525A1 (en) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network |
US20150195297A1 (en) | 2014-01-06 | 2015-07-09 | Argus Cyber Security Ltd. | Global automotive safety system |
US20150271201A1 (en) | 2012-10-17 | 2015-09-24 | Tower-Sec Ltd. | Device for detection and prevention of an attack on a vehicle |
DE102015205670A1 (en) | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Attack detection method, attack detection device and bus system for a motor vehicle |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10298612B2 (en) * | 2015-06-29 | 2019-05-21 | Argus Cyber Security Ltd. | System and method for time based anomaly detection in an in-vehicle communication network |
-
2017
- 2017-02-10 DE DE102017202176.4A patent/DE102017202176B4/en active Active
-
2018
- 2018-02-05 WO PCT/EP2018/052727 patent/WO2018146028A1/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004063319A1 (en) | 2004-12-23 | 2006-07-13 | Volkswagen Ag | Software protection system for automobiles allows control words to be transmitted to a manufacturer for checking |
US20150271201A1 (en) | 2012-10-17 | 2015-09-24 | Tower-Sec Ltd. | Device for detection and prevention of an attack on a vehicle |
DE102013200528A1 (en) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Method for operating e.g. controlled area network bus of e.g. electric vehicle, involves connecting control devices over communication network for recognizing changes in control device in operation mode concerned by data manipulation |
DE102013200525A1 (en) | 2013-01-16 | 2014-07-17 | Robert Bosch Gmbh | Method for operating communication network, particularly of motor vehicle, involves connecting two control devices with each other in data technical manner by communication network |
US20150195297A1 (en) | 2014-01-06 | 2015-07-09 | Argus Cyber Security Ltd. | Global automotive safety system |
DE102015205670A1 (en) | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Attack detection method, attack detection device and bus system for a motor vehicle |
Also Published As
Publication number | Publication date |
---|---|
WO2018146028A1 (en) | 2018-08-16 |
DE102017202176A1 (en) | 2018-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102017202176B4 (en) | Method for detecting manipulation of a respective data network of at least one motor vehicle and server device | |
EP3278529B1 (en) | Attack detection method, attack detection device and bus system for a motor vehicle | |
DE112019000485T5 (en) | SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK | |
WO2016008778A1 (en) | Method for detecting an attack in a communication network | |
WO2018077528A1 (en) | Detection of manipulations in a can network by checking can identifiers | |
EP3523941B1 (en) | Communication data authentication device for a vehicle | |
DE102017209557A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
WO2019052798A1 (en) | Method and device for detecting an attack on a serial communications system | |
EP3688951B1 (en) | Method for detecting an attack on a control device of a vehicle | |
EP3655909B1 (en) | Methods and devices for communication which is interoperable between subscribers | |
DE112020005622B4 (en) | Information processing device, information processing method and computer program | |
DE102016204999A1 (en) | Method for monitoring the security of communication links of a vehicle | |
DE102017209556A1 (en) | Method for protecting a vehicle network against manipulated data transmission | |
DE102018212657A1 (en) | Method and device for detecting irregularities in a computer network | |
DE102013108006B4 (en) | communication system | |
DE102021208459B4 (en) | Method for authentic data transmission between control units in a vehicle, arrangement with control units, computer program and vehicle | |
DE112018004881T5 (en) | Monitoring device, monitoring system and computer program | |
DE102016221378A1 (en) | Method for transmitting data | |
DE102017209806A1 (en) | Method and device for detecting attacks on a fieldbus | |
DE102021123786A1 (en) | Method for detecting an interruption in data transmission from a vehicle to a safety-related function of a vehicle-external server, computer-readable medium, system, and vehicle | |
DE102018216959A1 (en) | Method for securing a data packet by a switching center in a network, switching center and motor vehicle | |
WO2022238025A1 (en) | Method for identifying an inadmissible message of a manipulated control device of a vehicle by means of a second control device of the vehicle, computer-readable medium, system, and vehicle | |
DE102022201899A1 (en) | MITIGATION OF MANIPULATION OF SOFTWARE OF A VEHICLE | |
DE102018220008A1 (en) | Method for operating a control device of a vehicle | |
DE102021123785A1 (en) | Method for detecting a suppression of a safety-relevant data transmission from a vehicle to a vehicle-external server, computer-readable medium, system, and vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |
|
R082 | Change of representative |
Representative=s name: HOFSTETTER, SCHURACK & PARTNER - PATENT- UND R, DE |
|
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division |